Kimsuky 组织利用 TRANSLATEXT Chrome 扩展程序窃取敏感数据信息
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
朝鲜黑客组织Kimsuky使用新型恶意Chrome扩展程序TRANSLATEXT窃取韩国学术界敏感信息。该组织还利用微软Office漏洞分发键盘记录程序,并使用工作主题诱饵攻击航空航天和国防部门。恶意程序后门允许攻击者执行侦察和远程控制。攻击通过鱼叉式网络钓鱼和社交工程激活感染链。TRANSLATEXT扩展包含JavaScript代码,可绕过谷歌等服务的安全措施,窃取电子邮件地址、凭证、cookie和浏览器截图。Kimsuky的目标是监视韩国学术界和政府人员,收集情报。
🎯
关键要点
- Kimsuky 是一个朝鲜黑客组织,自 2012 年以来主要针对韩国进行网络间谍和金融攻击。
- Kimsuky 使用名为 TRANSLATEXT 的恶意 Chrome 扩展程序,窃取电子邮件地址、用户名、密码、cookie 和浏览器截图。
- 该组织的攻击目标主要是韩国学术界,特别是关注朝鲜政治事务的人员。
- Kimsuky 利用微软 Office 的安全漏洞分发键盘记录程序,并在航空航天和国防部门的攻击中使用工作主题诱饵。
- 恶意程序后门允许攻击者执行侦察和远程控制,激活感染链的方式包括鱼叉式网络钓鱼和社交工程。
- 攻击活动通常通过 ZIP 压缩包传播,包含恶意文档和可执行文件,启动后会下载 PowerShell 脚本。
- TRANSLATEXT 扩展程序包含 JavaScript 代码,可以绕过多种服务的安全措施,窃取敏感信息。
- Kimsuky 的主要目标是监视韩国学术界和政府人员,以收集有价值的情报。
➡️
